Software-Lizenzaudits – Verteidigungslinien des Anwenders

Wer organisiert die Abwehr?

Unmittelbar nach Eingang des Audit-Anschreibens (Audit Call) empfiehlt es sich, zumindest nachfolgende Funktionsträger zu involvieren:

• IT-zuständiges Mitglied der Geschäftsleitung bzw. CIO, falls noch nicht als Erst-Adressat des Anschreibens ohnehin bereits informiert, da signifikante Nachforderungen und Streitigkeiten mit einem großen Vendor die unternehmerische IT-Planung tangieren können.

• Lizenzmanager, da dort das Know-how zum Softwarebestand bzw. zu Schwachstellen vorhanden ist. Bei ihm ist oft ein Querschnittswissen über das Zusammenspiel aller Akteure konzentriert.

• Finanzverantwortlicher (CFO, Kaufmännischer Leiter), da finanzielle Risiken drohen durch Nachforderungen bei Unterlizenzierung, und weil ggf. auch Investitionen anfallen können.
• Rechtsabteilung, da Lizenzvertragsrecht, Software-Recht, IT-Recht, Urheberrecht etc. immer eine entscheidende Rolle spielen beim Argumentationsaufbau zur Forderungsabwehr. Der Unternehmensjurist kann die Maßnahmen zum juristischen Gefahrenmanagement koordinieren, indem er auch Audit-Expertise von externen Spezialisten einbindet.

Zwar geht ein Audit-Anschreiben (Audit Call) meist zunächst an die Geschäftsleitung bzw. an CIO oder Lizenzmanager, wo im ersten Moment der Audit-Druck lastet. Sobald man dort jedoch die reale Gefahr aus zweifelhaften Vorwürfen der Unterlizenzierung und ungeahnten Nachforderungen teils in Millionenhöhe erkennt, werden intern die Juristen zur Abwehr eingebunden. Sie werden nach Lösungen gefragt, wenn IT-Manager in Erklärungsnot geraten und Finanzchefs bluten sollen.

Die professionelle Abklärung von hochkomplexen Nutzungsrechten ist hier aus juristischkaufmännischer Gesamtsicht zu managen. Typischerweise eben durch passgenaue Einbindung ergänzender Audit-Expertise von außen. So beweisen Juristen als Akteure im Audit ihre Problemlösungskompetenz zugunsten ihres Unternehmens und leisten einen Wertschöpfungsbeitrag.

Je nach Organisation des Unternehmens kann die zusätzliche Einbeziehung weiterer Funktionen nützlich sein, wie etwa Compliance Officer. Denn mit der vom Vendor hinterfragten Software Compliance ist ein Teilbereich seiner Zuständigkeit betroffen, und Vendoren behaupten teils strafrechtlich relevante Compliance-Verstöße. Auch der IT-Einkauf ist wichtig, da dort kommerzielle Konditionen mit dem Vendor bei erforderlichen Zukäufen zu verhandeln sind.

Erste Verteidigungslinien des Anwenders

Zunächst ist die juristische Korrektheit des Audit-Anschreibens selbst sowie der Audit Scope (Inhalt und Reichweite des Prüfungsverlangens) klar zu analysieren. Es geht um Kriterien der rechtlichen Zulässigkeit generell, auch der Audit-Klausel selbst. Ebenfalls geht es um die Konkretisierung der prüfungsrelevanten Produkte und Systeme (Vermessungsplan) sowie um die Bewertung der verlangten Formen wie Selbstauskunft, Remote Audit, On-Site-Audit oder andere. Nicht vermessbare Bereiche wie Sonder-User oder spezielle Metriken sind ggf. zu identifizieren und separat zu berücksichtigen.

Einige konkrete Anhaltspunkte für die Analyse eines Audit Call:

• Sind die Formalien des Audit-Anschreibens eingehalten?
• Ist die korrekte Audit-Klausel als Berechtigungsbasis für den Audit Call in Bezug genommen?
• Sind in der Audit-Klausel Fristen vereinbart, die dem Unternehmen zustehen?
• Ist die Verhältnismäßigkeit der verlangten Mittel/Methoden zum Informationszweck gewahrt?

Oder wird mit Kanonen auf Spatzen geschossen?

• Existieren Bedenken bzgl. überzogener sachfremder Auskunftsverlangen?
• Sind Geschäftsgeheimnisse sicher? Belange des Datenschutzes beachtet?
• Verbleibt dem Anwender beim Einsatz des verlangten Vermessungstools ausreichende Transparenz und Kontrolle hinsichtlich der übermittelten Daten?

Eventuell sind vor dem Start der Maßnahmen Vereinbarungen über den Gesamtkomplex anzuregen zwecks Regelung der vorgenannten Punkte, der Zeitschiene, der Kostenverteilungen, der Beschränkungen in Umfang und Methode und weiterer Besonderheiten.

Audit Readiness

Aber nicht erst mit Eingang des Audit Call, sondern zeitlich weit im Vorfeld können Anwenderunternehmen die Basis für ein gutes Gelingen vorbereiten, nämlich durch Herstellen von Audit Readiness.

Im Bereich System-Administration sind die richtigen Systemeinstellungen vorzunehmen (etwa Anzahl benutzter Server), um z.B. unzulässige Virtualisierungen zu vermeiden. Die technische Fähigkeit zur Selbstauskunft sollte stets vorhanden sein.

Der Bereich Lizenzmanagement sorgt in seiner Kernaufgabe für die Aufstellung bzw. Aktualisierung der Lizenzbilanz, d.h. die Dokumentation des aktuell genutzten bzw. verfügbaren Lizenzportfolios. Wenn die Nutzung über das zulässige Maß hinausgeht, sie also nicht mehr vom eingeräumten Lizenzumfang gedeckt ist, kommt es zur problematischen Unterlizenzierung. Proaktive interne Vermessungen können unangenehme Überraschungen im Audit vermeiden.

Fazit

Zwecks Forderungsabwehr sollten Akteure wie Geschäftsleitung, CIO, CFO, Lizenzmanagement und Rechtsabteilung sofort die Gegenmaßnahmen koordinieren und die nötige Expertise bündeln  – ggf. mit Audit-Spezialisten von außen. Proaktive Herstellung von Audit Readiness ist hilfreich. Mit kritischem Hinterfragen der rechtliche Zulässigkeit von Audit-Klauseln sowie von Auskunftsverlangen und Methoden des Vendors läßt sich mitunter eine erste Verteidigungslinie aufbauen. Der Audit Scope und weitere Details sollten für den Anwender transparent vereinbart werden.

Weitere Informationen über Software-Lizenz-Audits können Sie auch im Teil eins, Software-Lizenz-Audits: Auswege aus der Falle? dieser dreiteiligen Artikelserie nachlesen.

Von Rober Fleuter gibt es darüber hinaus auch Analysen zur Kostenfalle SAP-Addons oder zur indirekten Nutzung von Software.

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.